2015-9-14

SECURITY

O estranho mundo das Passwords

Quando acusaram a Apple de ter uma brecha na segurança, Tim Cook disse de forma mais polida algo como "os utilizadores são estúpidos". Era capaz de ter razão. Conheça o Top 10 das passwords mais usadas no Ashley Madison.

O estranho mundo das Passwords

Como o código fonte foi roubado pelos hackers, eles conseguiram reverter o algoritmo de criptografia das passwords

Em 2014 começaram a circular na Internet fotos de celebridades da música e do cinema nuas, que supostamente seriam privadas e tinham sido retiradas do alojamento pessoal do serviço do serviço iCloud da Apple, a empresa rapidamente veio esclarecer pela voz do seu CEO Tim Cook que não tinha havido nenhuma falha de segurança informática: os utilizadores é que usavam passwords demasiado óbvias.


O site de encontros extraconjugais Ashley Madison foi mesmo vítima de um sofisticado ataque por um grupo de hackers denominado “Impact Team”, três ataques para sermos exatos. Foram roubados dados pessoais e da atividade de "convívio" de 35 milhões de utilizadores e respetivas passwords, mas alguns utilizadores nem precisavam de hackers para qualquer um entrar nas suas contas, tão óbvias que são as passwords.

As passwords são guardadas nas bases de dados por métodos de criptografia, por razões de segurança, mas como o próprio código fonte foi roubado pelos hackers, eles conseguiram reverter o algoritmo conhecido como MD5 (Message-Digest algorithm 5) que é um algoritmo de hash de 128 bits considerado de complexidade média.

 

Agora, o site Ars Technica veio publicar a lista das passwords mais utilizadas. 
Fica novamente patente que os utilizadores, mesmo num site algo "sensível" , continuam a escolher as mais absurdas combinações. 

No topo das preferências estão as "123456" e suas variações (utilizadores mais empenhados usavam até 9) , a palavra "password" continua incrivelmente a ser usada como senha, assim como o nome do próprio site nas combinação das palavras "ashley" , "madison" ou ambas. O desporto favorito ou algumas palavras de vocabulário mais vernáculo são também muito populares assim como o sempre prático "qwerty".

 

123456 é mesmo má ideia para uma password

 

 

Password Vezes usadas
   
123456 ( e derivados) > 200.000
password 39.448
default 34.275
qwerty 20.778
abc123 10.869
pu**y 10.683
696969 8.801
ashley 8.793
fu**me 7.893
football 7.872

(*) Substituído....
 

Uma questão de memória

O problema das palavras que usamos como password é que, por vezes, mesmo que não tão óbvias , podem ser adivinhadas por quem nos conhece bem.

Para Edward Baldwin , ex-CTO de uma multinacional financeira baseada em Londres e atualmente consultor de segurança IT, o seu interesse pelas escolhas dos colaboradores começou quando foram detetados acessos ao sistema bancário por funcionários que estavam de férias. 

"Como havia logs de todos os acessos, e alguns colaboradores queriam fazer consultas ao sistema por razões absolutamente pessoais e fúteis, então aproveitavam ausências de colegas e usavam os seus acessos."  Foi feita uma investigação interna a estes casos, quase sempre o legítimo "dono" garantia que nunca tinha revelado a password a nenhum colega. "- Não era preciso", afirma Edward, "quando se convive com alguém de perto acaba por conhecer-se a pessoa e fica fácil tentar coisas como o local onde vive, o nomes dos filhos ou do cão, e muitas vezes resulta".

Edward emitiu então uma estranha recomendação interna: "- Ou a password que escolher é do tipo sequência aleatória, ou por favor escolha algo relacionado com a sua infância como um local, uma pessoa ou outra memória", e o CTO explicava porquê esta recomendação. "Nem o seu cônjuge conhece assim tão bem a sua infância".

 

ARTIGOS RELACIONADOS

Ashley Madison pode ter provado do seu próprio "veneno"
SECURITY

Ashley Madison pode ter provado do seu próprio "veneno"

LER MAIS

Ashley Madison - hackers publicam dados de 32 milhões de utilizadores
SECURITY

Ashley Madison - hackers publicam dados de 32 milhões de utilizadores

LER MAIS

A (in)segurança na nuvem
OPINIÃO

A (in)segurança na nuvem

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.